xpath事件过滤器无法正常工作

时间:2016-07-20 16:23:10

标签: xpath event-log taskscheduler

我正在尝试创建一个XPath事件过滤器,以便在完成另一个任务后执行计划任务。我的XPath看起来像这样

<QueryList>
    <Query Id="0" Path="Microsoft-Windows-TaskScheduler/Operational">
        <Select Path="Microsoft-Windows-TaskScheduler/Operational">
            *[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and Task = 102 and (EventID=102)]]
        </Select>
        <Select Path="Microsoft-Windows-TaskScheduler/Operational">
            *[EventData[Data[@Name=’TaskName’] and (Data=’\Visual Studio Dark Theme′)]]
        </Select>
        <Select Path="OAlerts">
            *[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and Task = 102 and (EventID=102)]]
        </Select>
    </Query>
</QueryList>

我想要找到的事件就是这个。

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
        <Provider Name="Microsoft-Windows-TaskScheduler" Guid="{DE7B24EA-73C8-4A09-985D-5BDADCFA9017}" /> 
        <EventID>102</EventID> 
        <Version>0</Version> 
        <Level>4</Level> 
        <Task>102</Task> 
        <Opcode>2</Opcode> 
        <Keywords>0x8000000000000001</Keywords> 
        <TimeCreated SystemTime="2016-07-20T16:14:08.280937900Z" /> 
        <EventRecordID>13055</EventRecordID> 
        <Correlation ActivityID="{0A2EAFD2-B40E-4C60-A099-80C020CBA547}" /> 
        <Execution ProcessID="1164" ThreadID="6464" /> 
        <Channel>Microsoft-Windows-TaskScheduler/Operational</Channel> 
        <Computer>GXLT012660.CoyoteLogistics.local</Computer> 
        <Security UserID="S-1-5-18" /> 
    </System>
    <EventData Name="TaskSuccessEvent">
        <Data Name="TaskName">\Visual Studio Dark Theme</Data> 
        <Data Name="UserContext">COYOTELOGISTICS\benjamin.drolet</Data> 
        <Data Name="InstanceId">{0A2EAFD2-B40E-4C60-A099-80C020CBA547}</Data> 
    </EventData>
</Event>

每当使用上面的XPath查询在事件查看器上创建自定义过滤器时,我会收到以下错误。

查询中的一个或多个日志有错误。 日志:Microsoft-Windows-TaskScheduler / Operational 错误:指定的查询无效。

1 个答案:

答案 0 :(得分:2)

这是相当陈旧的,所以我希望你从那时起找到答案,但我遇到了同样的问题。

我发现我在查询中使用了错误的单引号,在编辑器中几乎无法区分,但当我在问题*[EventData[Data[@Name=’TaskName’] and (Data=’\Visual Studio Dark Theme′)]]中看到时,我怀疑问题是一样的。

尝试*[EventData[Data[@Name='TaskName'] and (Data='\Visual Studio Dark Theme')]]